Credit image: Pixabay
Seorang pelaku ancaman telah membocorkan source code lengkap untuk versi pertama ransomware HelloKitty di forum peretasan berbahasa Rusia, mengklaim sedang mengembangkan enkripsi baru yang lebih kuat.
Kebocoran ini ditemukan oleh peneliti keamanan siber yang melihat aktor ancaman bernama ‘kapuchin0’ merilis “cabang pertama” dari enkripsi ransomware HelloKitty.
Meskipun kode sumbernya dirilis oleh seseorang bernama ‘kapuchin0’, 3xp0rt mengatakan kepada bahwa pelaku juga menggunakan alias ‘Gookee.’
Gookee sebelumnya telah dikaitkan dengan malware dan aktivitas peretasan, mencoba menjual akses ke Sony Network Jepang pada tahun 2020.
Dia dikaitkan dengan operasi Ransomware-as-a-Service yang disebut ‘Gookee Ransomware,’ dan mencoba menjual source code malware di forum peretas.
|
Baca juga: Operasi Ransomware LostTrust |
Ransomware Baru
Diyakini kapuchin0/Gookee adalah pengembang ransomware HelloKitty, yang beberapa waktu lalu berkata sedang mempersiapkan produk baru yang lebih menarik daripada Lockbit.
Arsip hellokitty.zip yang dirilis berisi solusi Microsoft Visual Studio yang membangun enkripsi dan dekripsi HelloKitty serta pustaka NTRUEncrypt yang digunakan versi ransomware ini untuk mengenkripsi file.
Pakar Ransomware mengonfirmasi bahwa ini adalah kode sumber sah untuk HelloKitty yang digunakan saat operasi ransomware pertama kali diluncurkan pada tahun 2020.
Meskipun peluncuran kode sumber ransomware dapat berguna untuk penelitian keamanan, ketersediaan kode ini secara publik memiliki kelemahan.
Seperti yang kita lihat ketika HiddenTear dirilis (untuk “alasan pendidikan”) dan source code ransomware Babuk dirilis, pelaku dengan cepat menggunakan kode tersebut untuk meluncurkan operasi pemerasan mereka sendiri.
Hingga hari ini, lebih dari sembilan operasi ransomware terus menggunakan source code Babuk sebagai dasar enkripsi mereka sendiri.
|
Baca juga: Serangan Ransomware Ganda |
Siapa HelloKitty?
Operasi ransomware HelloKitty dioperasikan sejak November 2020 dan FBI kemudian merilis PIN (pemberitahuan industri swasta) grup tersebut pada Januari 2021.
Geng ini dikenal karena meretas jaringan perusahaan, mencuri data, dan mengenkripsi sistem. File terenkripsi dan data yang dicuri kemudian digunakan sebagai pengaruh dalam mesin pemerasan ganda, dimana pelaku ancaman mengancam akan membocorkan data jika uang tebusan tidak dibayarkan.
HelloKitty dikenal dengan banyak serangan dan digunakan oleh operasi ransomware lainnya, tetapi serangan mereka yang paling banyak dipublikasikan adalah serangan pada CD Projekt Red pada Februari 2021.
|
Baca juga: Fenomena Ransomware Baru Bermunculan |
Sepak Terjang
Selama serangan ini, pelaku mengaku telah mencuri Cyberpunk 2077, Witcher 3, Gwent, dan source code game lainnya, yang mereka klaim telah dijual.
Pada musim panas tahun 2021, kelompok ransomware tersebut mulai menggunakan varian Linux yang menargetkan platform mesin virtual VMware ESXi.
Ransomware HelloKitty atau variannya juga telah digunakan dengan nama lain, termasuk DeathRansom, Fivehands, dan mungkin, Abyss Locker.
FBI membagikan kumpulan indikator kompromi (IOC) yang ekstensif dalam nasihat mereka tahun 2021 untuk membantu profesional keamanan siber dan admin sistem menjaga dari upaya serangan yang dikoordinasikan oleh geng ransomware HelloKitty.
Namun, seiring dengan perubahan enkripsi dari waktu ke waktu, IOC ini kemungkinan sudah ketinggalan zaman.
Sumber berita:
